• Log4j 2.15.0 취약점 CVE-2021-45046

    Log4j 2.15.0 으로 업그레이드 한지 하루만에 CVE-2021-45046 가 공개되었습니다. 영향 받는 버전 Logj2 취약점 내용 Context Lookup 이나 Thread Context Map pattern 에서 악의적인 데이터로 JNDI 조회 사용하여 DoS(Denial of Service)을 일으킬 수 있습니다. # Context Lookup $${ctx:loginId}) # Thread Context Map pattern %X, %mdc, or %MDC 조치 방법 기존의 log4j2.noFormatMsgLookup 등의 방법은 효과가 없습니다. 2...

  • Log4j 취약점 (CVE-2021-44228) 을 막는 5가지 방법

    스위스 정부에서 깔끔하게 정리해서 포스팅한 글을 참조 하였습니다. 이미 이슈는 다뤘으니 Log4j 2.x 의 이슈 CVE-2021-44228 설명은 생략 하겠습니다. 이슈 관련 포스팅은 CVE-2021-44228 취약점 참고하세요. Message formatting 을 통한 lookup 동작을 위해 ${protocol:~~~} 의 패턴을 갖습니다. WAF 에 룰을 설정하여 차단합니다. Log4j2 의 message lookup 을 disable 합니다. (2.10 <= current < 2.15.0) JAVA 환경변..

  • CVE-2021-44228 취약점

    2021년 12월 10일. CVE-2021-44228 취약점이 공개 되었습니다. 현재 수많은 사이트 등에서 다수의 스캔 흔적이 포착 된것으로 확인 됩니다. 자바 어플리케이션을 사용하는 곳은 모두 체크 해봐야 합니다. 영향 받는 버전 Log4j 2.x <= 2.14.1 Logback 및 Log4j 1.x 버전은 이번 CVE 에 영향 받지 않습니다. 하지만 log4j 1.x 버전은 이전에 발표된 CVE 영향을 받습니다. 아래 내용 참조. 취약점 내용 로그 메시지 및 매개변수에..

  • Google Chrome 80 SameSite Policy

    배포 예정일 Chrome 80 부터 cookie samesite 정책이 변경된다. 2020. 02. 04 배포 예정 * 2020. 02. 05 AM 9 체크해보니 업데이트 되었다. 변경 사항 SameSite attributer가 지정되지 않았을 때 SameSite=Lax 가 기본값으로 변경 SameSite=None 설정시 secure flag가 활성화 되어 있지 않으면 reject 참고 사이트 https://www.chromestatus.com/feature/5088147346030592 https://www.chromestatus.com/feature/5633521622188..

  • Maven Central Repository blocking http protocol

    2020. 01. 15 일 부로 http://repo1.maven.org / http://repo.maven.apache.org/ 두 repository에 대해 access가 제한된다. 2019년 4월 https 로 변경을 권고 하였고 이번에 변경이 완료 된것이다. https://central.sonatype.org/articles/2019/Apr/30/http-access-to-repo1mavenorg-and-repomavenapacheorg-is-being-deprecated/ https://blog.sonatype.com/central-repository-moving-to-https 하지만 미처 대처하지 못하고..